โมเดลไดมอนด์ (Diamond Model) คืออะไร ?
โมเดลไดมอนด์ คืออะไร?
โมเดลไดมอนด์ (Diamond Model of Intrusion Analysis) เป็นกรอบแนวคิดด้านความปลอดภัยไซเบอร์ที่ช่วยองค์กรวิเคราะห์เหตุการณ์การโจมตีไซเบอร์ โมเดลนี้ถูกเสนอครั้งแรกในปี 2013 โดย Sergio Caltagirone, Andrew Pendergast, และ Christopher Betz ผ่านรายงานทางเทคนิคของกระทรวงกลาโหมสหรัฐฯ
โมเดลนี้มีวัตถุประสงค์เพื่อระบุผู้โจมตี (Adversary) เข้าใจวิธีการและภัยคุกคามที่พวกเขาใช้ รวมถึงตอบสนองต่อเหตุการณ์การโจมตีได้อย่างมีประสิทธิภาพ โดยมีองค์ประกอบสำคัญ 4 ส่วน ได้แก่
- Adversary: ผู้โจมตีหรือกลุ่มผู้โจมตี
- Infrastructure: ทรัพยากรทางเทคนิคที่ผู้โจมตีใช้ เช่น เซิร์ฟเวอร์และโดเมน
- Capability: เครื่องมือหรือวิธีการที่ผู้โจมตีใช้ เช่น มัลแวร์
- Victim: บุคคลหรือองค์กรที่เป็นเป้าหมาย
โมเดลนี้ทำงานอย่างไร?
แต่ละองค์ประกอบในโมเดลไดมอนด์เชื่อมโยงกันผ่านความสัมพันธ์ต่างๆ เช่น
- Adversary-Victim: วิเคราะห์เหตุผลที่ผู้โจมตีเลือกเป้าหมาย
- Adversary-Infrastructure: วิธีที่ผู้โจมตีใช้ทรัพยากรเพื่อโจมตี
- Victim-Infrastructure: การเชื่อมโยงระหว่างเป้าหมายและทรัพยากรของผู้โจมตี
- Victim-Capability: การใช้เครื่องมือและเทคนิคเฉพาะในการโจมตี
ประโยชน์ของการใช้โมเดลไดมอนด์
- เข้าใจภาพรวม: วิเคราะห์ทั้งแง่มุมเทคนิคและปัจจัยมนุษย์
- โครงสร้างชัดเจน: จัดการและวิเคราะห์ข้อมูลได้อย่างเป็นระบบ
- การตอบสนองและข่าวกรองภัยคุกคาม: ช่วยรวบรวมข้อมูลสำคัญทั้งก่อนและหลังการโจมตี
เปรียบเทียบกับกรอบแนวคิดอื่น
- Cyber Kill Chain: เน้นลำดับขั้นตอนการโจมตี
- MITRE ATT&CK: เจาะลึกวิธีการ (TTPs) ของผู้โจมตี
โมเดลไดมอนด์สามารถใช้งานร่วมกับกรอบแนวคิดอื่นๆ เพื่อสร้างภาพรวมที่สมบูรณ์
ตัวอย่างการใช้งานจริง
- การวิเคราะห์กลุ่ม LAPSUS$
- การใช้โมเดลร่วมกับ Honeynets ในระบบควบคุมอุตสาหกรรม
แหล่งที่มา : https://www.eccouncil.org/cybersecurity-exchange/ethical-hacking/diamond-model-intrusion-analysis/
เริ่มต้นเสริมความปลอดภัยให้องค์กรของคุณด้วยวันนี้!
ติดต่อเราเพื่อรับคำปรึกษาและบริการที่ดีที่สุดในด้านความปลอดภัยไซเบอร์
สนใจสินค้า 
สอบถามเพิ่มเติม
: 02-026-6665
: 